Top Trends in Cybersecurity for 2024 | 
元のソース:Edgecast
Webアプリケーションセキュリティは、大小の組織にとって依然として脅威ベクトルのトップである。 Verizon 2020 Data Breach Investigations Report (DBIR)によると、全データ侵害の43%がウェブアプリケーションによるもので¹、全ハッキングベクトルの80%がウェブアプリケーションを標的にしている。²
2020年第4四半期、Verizon Mediaは、コンテンツ・デリバリー・ネットワーク(CDN)上のクロスサイトスクリプティング(XSS)トラフィックが前四半期と比較して著しく増加した。 このブログでは、いくつかのトラフィックデータポイントを探索し、最も試行されたXSSペイロードの1つを分析する。 我々はまた、保護措置を適用するためにこのデータを使用する方法を共有する。
組織の玄関をノックする悪意のある可能性のあるXSSトラフィックを処理するためのアクションドリブンガイドとしてこのコンテンツを使用する。 また、リーダーシップチームやビジネス/運用担当者との必要なセキュリティに関する会話を行うのに役立つ場合もある。
データがあるので、調べてみよう
ベライゾン・メディアは2020年第4四半期に15億件のリクエストを軽減した。 ブロック、カスタムレスポンス、URLリダイレクトをトリガーしたWAFイベントとして「mitigate」を定義する。 これらの15億ブロックは、そうでなければお客様のオリジンサーバーに到達したHTTPリクエストを表す。 このデータからわかることは
- バックグラウンドでの脆弱性スキャンの量は膨大である。 標的が攻撃する価値がない、または知名度が低いために安全だと思っている場合は、間違っている。 Verizon DBIRによると、「混合メタファーを許可しても、このケースではクマを追い抜くことはできない。なぜなら、クマはすべて3Dプリントされ、あなたを狩るために自動化されているからである」³
- Webアプリケーションが安全であれば、そのようなスキャンは、泥棒の揺れるドアノブよりも有害ではないように見えるかもしれないし、そのようなトラフィックがサーバーに到達するのを許可することは、サーバーに追加の負荷をかけること以外は無害である。 しかし、非対称的なサイバーセキュリティ戦争では、攻撃者は一度だけ正しくなければならないため、将来的に正しいことが容易になる。 防げるならなぜ強盗にドアノブを揺らせた?
これをもう少し先に進めるために、2020年第4四半期からブロックされたトラフィックの一部を詳しく見てみよう。
過去3四半期でブロックされたクロスサイトスクリプティング(XSS)トラフィックは、2020年第2四半期のトップから2020年第4四半期の4位に移動し、この期間中にボリュームがほぼ倍増し、ブロックされたトラフィックの10%に相当する。
図1。 わずか6ヶ月で、XSSトラフィックは2倍以上になった。
XSSトラフィックを知るために
Open Web Application Security Project (OWASP)によれば、XSSの欠陥は、アプリケーションが適切な検証やエスケープを行わずに新しいウェブページに信頼できないデータを含む場合や、HTMLやJavaScriptを作成できるブラウザAPIを使用してユーザーが提供したデータで既存のウェブページを更新する場合に発生する。 XSSは攻撃者が攻撃者のブラウザでスクリプトを実行することを可能にし、ユーザーセッションを乗っ取り、ウェブサイトを改ざんし、悪意のあるサイトにユーザーをリダイレクトする可能性がある。
この危険にさらされると、インフラストラクチャ、データの機密性と整合性、およびインターネット経由で配信されるデータの可用性が脅かされる。 これらの攻撃は、コンテンツへの不正アクセス、個人識別情報(PII)の損失、および個人情報/著作権で保護された情報の拡散を引き起こす可能性がある。
インターネットに接続され、露出されると、何も見えないので、これは問題である:それを立てれば、スキャンされる。 新しいウェブアプリケーションがオンラインになり、インターネットに公開されると、さまざまなアクションや要求にどのように反応するかをテストする。 これらの知見の結果は興味深いプロットのねじれを生み出す可能性があり、これについては後ほど説明する。
まず、潜在的な被ばくの範囲を探ってみよう。 多くのWebサイト、Webアプリケーション、サーバは、企業の保護された内部ネットワークの外部で要求を受信して処理する。 その結果、OWASPによってグループ化された様々な悪意のある脅威に対して脆弱である。これには、SQLインジェクション、XSS、アプリケーション層での分散型サービス拒否(DDoS)攻撃が含まれる。
Verizon WAFによって検出されたXSS攻撃の増加を考慮すると、XSSがMITRE CWE Top 25 for 2020のリストでもトップになっていることは驚くことではない。
図2。 2020年のCWE Top 25の弱点の簡単なリスト。それぞれの全体的なスコアを含む。
ブロックされたXSSトラフィックの増加が見られたように、National Vulnerability Database (NVD)に文書化されているXSSエクスプロイトにも関連する実際の脆弱性の数も同様である。
- 過去3か月間に文書化された513件のXSSの脆弱性(毎月171件)
- 過去3年間に文書化された5,507件のXSSの脆弱性(毎月153件)
- 16,936件のXSS脆弱性が常に文書化されている
はい、防御側は攻撃者と同じツールを使用して脆弱性を探る。 したがって、悪意のあるトラフィックが存在しても、必ずしもトラフィックの背後に悪意があるとは限らない可能性を認識することが重要である。 でもあるかもしれない
少なくとも、好奇心旺盛な悪者がシステムのスキャンに成功した場合、XSSのエクスプロイトを試みることができる。 さらに悪いことに、偵察活動とそこから得られた結果は、XSSを介して妥協したり破壊的なペイロードをドロップするために使用されたり、サーバーサイド要求偽造(SSRF)のようなより悪質なものへの足がかりとして使用されたりする可能性がある。
それは「優れた踏み台」、私が見るか。
先に述べたドアノブの揺れのシナリオを思い出してほしい。 その比喩を復活させる時が来た。
ほとんどのXSSトラフィックとイベントは、それ自体が重要ではないかもしれないが、それらは将来重大な課題と問題につながる可能性がある。
XSS攻撃に成功すると、攻撃者が被害者のブラウザで任意のHTMLやJavaScriptを実行できる可能性がある。 一般的に、ユーザーは水やり場のウェブサイトや広告など、攻撃者が制御するページを指す悪意のあるリンクと対話する必要がある。
内部的にルールID 941100として指定された2020年第4四半期のトップルール違反を見てみよう。トップペイロードの1つにマッピングされ、XSSを踏み台攻撃として使用する機能を実証する。
“><script >alert(String.fromCharCode(88,83,83)</ script>”
これはhtmlpurifier.org.⁵のような多くのコードリポジトリで非常に一般的なXSSテスト文字列であり、この特定のペイロードが動作するかどうかを検証しようとすると、「XSS」という文字列を含むポップアップアラートボックスが表示され、特定のウェブサイトが反射型XSSに対して脆弱であることを攻撃者に即座に確認できる。
攻撃者が反射したXSSが存在することを確認すると、「反射された攻撃は、電子メールメッセージや他のWebサイトなどの別のルートを介して配信される。ユーザーが悪意のあるリンクをクリックしたり、特別に細工されたフォームを送信したり、悪意のあるサイトを閲覧したりすると、注入されたコードは脆弱なWebサイトに移動し、攻撃をユーザーのブラウザに反映する。」
図3。 サイバー攻撃者がXSSの脆弱性をどのように利用するか。
この攻撃は、攻撃されたユーザーが実行できるWebサイト上で、「ユーザーのセッションCookieの開示により、攻撃者がユーザーのセッションを乗っ取り、アカウントを乗っ取られる」ことを含むあらゆることを実行できる。たとえば、ユーザーに代わって送信されたユーザーのパスワードを変更するスクリプトは、アカウントの乗っ取りにつながる可能性がある。
他にも踏み台の例がある。 別の公的に文書化されたケースでは、SSRF攻撃はもともとXSSエクスプロイトを介して開始され、セキュリティ研究者は「画像の内部のXSSからサーバー上の任意のローカルファイル読み取りにエスカレートすることができた」。
すべての研究者(あるいはサイバー犯罪者)が、XSSの悪用をより意味のあるものに結びつけるのに十分な忍耐力を持っているわけではない。 しかし、より大きく、より良いもののためにXSSを保持することは、バグ報奨金プログラムで大きな賞を獲得しようとしている研究者にとっては一般的な方法のようだ。
緩和と擁護
データがないと判断するのは難しい。 しかし、状況を可視化することで、望ましい結果に導く経路を特定することが容易になる。 XSSトラフィックがネットワークとビジネスにもたらすリスクを軽減するのに役立つヒントとリソースのコレクション。
- インターネットに接続されているすべてのデバイスを認識し、レガシーシステムとテストシステムの両方が強化またはオフラインになることを確認する。 特にクラウドインフラの時代には、開発チームが数回クリックするだけでマシンをスピンアップしたり、フォームを送信したりすることが重要である。
- Webサーバを適切に設定し、強化する。 Center for Internet Securities Benchmarksなどのツールを使用して、サーバーのコントロールの構成方法を理解することを検討する。 MITM攻撃から保護するためにTLS設定を適切に構成する。
- インターネットに接続されているすべてのサーバーに定期的にパッチを適用する。 時々、よく使われるフレームワークはXSSに対して脆弱である。 2021年2月時点で、MITREのATT&CKデータベースには、XSSとの関連を含めて17,000近くの脆弱性と弱点が記載されている。
- セキュリティ強化の効果を定期的に検証する。 攻撃者が使用しているのと同じ動的アプリケーションセキュリティテスト(DAST)ツール、たとえばOWASP ZapやKali Linuxの同様の脆弱性スキャンツールを使用する。 または、DASTまたはペネトレーションテストサービスを使用して、脆弱なインターネットに面したサーバーを検出してスキャンする。
- Web Application Firewall(WAF)を有効にして、一般的な攻撃をブロックする。
- WAFを更新して、発見された脆弱性を即座にブロックし、アプリケーションチームが修正プログラムを展開できるようにする。 新たに発見された脆弱性から保護するための新しいルールが利用可能になったときにWAFを更新する。
- ロギングを有効にして、それらのログを検査する。
- 高度に冗長化された信頼性の高いDNSサービスと高度に分散されたDDoS保護とWebアクセラレーションサービス(CDN)を使用して、ウェブサイトと重要なネットワークインフラストラクチャをボリューム攻撃から保護する。
データから始める
コンテンツを配信するためにアプリを微調整し、リスクを軽減し、内部に侵入する攻撃をブロックするための堅牢なセキュリティ制御セットを提供することも可能である。 それでも、なぜ潜在的に有害なトラフィックが最初の場所であなたのネットワークに入るようにするか。 ポリシーが欠落している、またはコントロールがバイパスされているというチャンスを利用する理由
Verizon Media Securityのお客様は、脅威から身を守ることができる2つの機能をすぐに利用できる。
- 私達はあなたの場所を打つ潜在的に有害な(または少なくとも役に立たない)ネットワークトラフィックを見る。
- 統合されたVerizon Media WAFは、悪意のあるトラフィックが自動的に問題になる前にブロックできるようにすることができる。
Webアプリケーションのセキュリティを向上させるための重要なステップを踏む、詳細については、今すぐお問い合わせ。
脚注
- Verizon、「2020 Data Breach Investigations Report」、Verizon.com/business.com、enterprise.verizon.com/resources/reports/dbir/ 7ページ。
- ^冒頭、88頁。
- ^ 23頁。
- CWE、“2020 CWE Top 25 Most Dangerous Software Weaknesses”、CWE.mitre.org、cwe.mitre.org/top25/archive/2020/2020_cwe_top25.html。
- HTMLpurifier、「HTML purifier XSS attacks Smoketest」、HTMLpurifier.org、htmlpurifier.org/live/smoketests/xssAttacks.php。
- OWASP、「クロスサイトスクリプティング(XSS)」、owasp.org、owasp.org/www-community/attacks/xss/
- イビッド
- Buerhaus, Brett,“PhantomJSイメージレンダリングでのXSSのSSRF/ローカルファイル読み取りへのエスカレート, Buer.Haus. 2020年6月29日。
